La recogida del consentimiento en internet: una mentira generalizada

Con el RGPD, se supone que los usuarios de Internet estarán mejor informados y protegidos contra el seguimiento generalizado. Excepto que, en ausencia de sanciones, los usuarios de Internet se encuentran luchando contra banners de consentimiento intrusivos y engañosos. A continuación se ofrece una descripción general de las diferentes malas prácticas.

Considerar que navegar por un sitio constituye consentimiento

Es un defecto introducido en 2013 por la CNIL, que señalaba entonces en su deliberación: "la continuación de su navegación constituye la aceptación del depósito de cookies en su terminal".

Con el RGPD, este defecto se vuelve difícil de justificar y la CNIL se ve obligada a avanzar. Después de publicar nuevas directrices en julio de 2019 y de abrir un periodo de consulta con los profesionales, acaba de presentar un proyecto de recomendación sobre las modalidades prácticas de recogida del consentimiento, abierto a consulta pública hasta el 25 de febrero. Indica en particular: "la simple continuación de la navegación en un sitio web ya no puede considerarse una expresión válida de consentimiento al depósito de cookies, que ahora debe resultar de un acto positivo inequívoco del internauta".

Una vez establecida la recomendación final, dejará otros 6 meses a los actores afectados para cumplirla antes de iniciar las comprobaciones.

Además, podría creer que navegar por un sitio requiere cambiar de página, pero no es así: el simple hecho de desplazarse por la página hace que el banner de consentimiento desaparezca y activa su "aceptación de seguimiento".

A continuación, los banners de los sitios lemonde.fr y lefigaro.fr, que adoptan esta técnica. Hay que señalar que, para negarse, primero hay que ir a “Configurar cookies” o “Configurar”, lo que supone un coste para el usuario.

bandeau_consentement_Lemonde

bandeau_consentement_Lefigaro

Colocar cookies incluso antes del consentimiento

Si lees atentamente el párrafo anterior, podrías creer que, desde 2013, debes "navegar" por un sitio para que pueda colocar cookies (nota: no todas las cookies están afectadas; las cookies de determinadas herramientas de analítica están exentas). Además, la CNIL recuerda que sigue controlando esta obligación: "Este período de adaptación no impedirá a la CNIL controlar plenamente el cumplimiento de otras obligaciones que no han sido objeto de ninguna modificación y, en su caso, adoptar medidas correctoras para proteger la privacidad de los usuarios de Internet. En particular, los operadores deben respetar el carácter previo del consentimiento al depósito de rastreadores."

¿Qué ocurre en realidad? Naveguemos por el sitio lefigaro.fr para comprender la discrepancia.

Desactiva tu bloqueador de anuncios
Elimina las cookies en Chrome (Configuración > Configuración avanzada > Borrar datos de navegación), para cerrar la sesión de tu cuenta de Google.
Abre la consola de Chrome (⌘+Opción+J en Mac, Ctrl, Shift y J en PC) o inicia Charles Proxy.
Entonces ve a lefigaro.fr.
No navegues por lefigaro.fr, pero observa las distintas solicitudes enviadas a terceros: es una jungla.

lefigaro_sans_consentement

En la captura de pantalla (software Charles), podemos ver que AppNexus, utilizado como servidor de anuncios y SSP por Le Figaro (ahora llamado Xandr desde su adquisición por parte de AT&T), archiva una cookie con un identificador único uuid2 (dominio: adnxs.com). Si profundizamos un poco más, podemos ver otras cookies de terceros colocadas como por ejemplo:

DoubleClick: pertenece a Google, incluye su red publicitaria y sus herramientas publicitarias para editores y anunciantes.
Scorecardresearch: pertenece a Comscore, empresa de análisis publicitario
eStat: la herramienta Médiamétrie-eStat
Taboola: los enlaces a títulos estúpidos al final del artículo, que se fusionó con su competidor Outbrain el año pasado
StickyAds: SSP de vídeo francés, comprado por la estadounidense Comcast

Si la CNIL realmente controlara los sitios web, ya habría sancionado a lefigaro.fr (así como a muchos otros sitios web que no respetan la legislación vigente).

No poner al mismo nivel la aceptación y el rechazo de cookies

Esta es una mala práctica muy extendida en la web, como muestra el estudio "¿Respetan los banners de cookies mi elección? Medición del cumplimiento legal de los banners del Transparency and Consent Framework de IAB Europe" de Célestin Matte, Nataliia Bielova y Cristiana Santos, investigadores del INRIA, ilustrado en este excelente sitio y en este hilo de Twitter:

Tweet_Nataliia_Bielova

Este comportamiento ilegal es observado por los investigadores en 236 sitios web (de los 1.426 que contienen un banner de consentimiento con el sello de la IAB, la asociación de agentes publicitarios).

A otro estudio "Patrones oscuros después del RGPD: eliminación de ventanas emergentes de consentimiento y demostración de su influencia" realizado en 10.000 sitios en inglés y publicado recientemente por Midas Nouwens, Michael Veale y David Karger muestra que el diseño de estos banners de consentimiento tiene un peso considerable en la elección de consentir o no. Como era de esperar, cuanto más difícil es la negativa, más consienten los internautas, como explica Midas Nouwens en este tuit:

Tweet_Midas_Nouwens

Uno de los puntos clave del estudio: el 93,1% de las interacciones se limitan a la primera página. Por lo tanto, seguir varios pasos para negarse a ser rastreado es demasiado largo y complejo para la gran mayoría de los usuarios de Internet.

Ilustremos este punto con lemonde.fr, una vez más un mal estudiante. Elimina tus cookies en Chrome y ve a lemonde.fr. Si no te desplazas, ni cambias de página (lo que sería válido para aceptar cookies), primero deberás pulsar en “Configurar cookies” (botón menos valorado que “Aceptar”).

bandeau_consentement_lemonde.fr

Luego, para evitar el depósito de diferentes categorías de cookies, deberá desmarcar las 4 categorías entre las que tiene la opción y finalmente hacer clic en “Validar parámetros”. En total, 6 clics frente a sólo 1 para aceptar cookies: ¡no es de extrañar que la tasa de aceptación de cookies sea alta!

Lemonde_refuser_cookies

Estas CMP (Consent Management Platforms) son pocas, observa Midas Nouwens: cinco empresas cubren el 58% del mercado inglés. Por tanto, podría resultar más eficaz que el legislador prohibiera a estas empresas ofrecer configuraciones ilegales a los editores. Como usuario de Internet, puedes instalar la extensión Consent-O-Matic para Firefox o Chrome, que completa automáticamente estos formularios.

No respetar las elecciones del internauta cuando no da su consentimiento

Para dar a conocer el estudio "¿Los banners de cookies respetan mi elección? Medición del cumplimiento legal de los banners del Transparency and Consent Framework de IAB Europe", Célestin Matte, Nataliia Bielova y Cristiana Santos tomaron el ejemplo de Radio France, que no ofrecía la opción de rechazar el consentimiento en este tuit:

Tweet_Nataliia_Bielova_Radio_France

Cabe señalar que Radio Francia utiliza la CMP (Consent Management Platform, la herramienta encargada de recoger el consentimiento y de su correcta transmisión a los distintos actores de la cadena publicitaria) de Axel Springer, un gran grupo de prensa alemán, que considera que la publicidad dirigida entra en el marco del “interés legítimo” y por lo tanto no necesita pedir el consentimiento de los usuarios.

Desde entonces, el CMP de Radio France se ha actualizado, por lo que los usuarios pueden hacer el esfuerzo de rechazar diferentes categorías de cookies, pero estas elecciones no parecen estar registradas correctamente... Veamos las cookies colocadas incluso antes de configurar el banner de consentimiento del sitio. franceinter.fr.

France_Inter_avant_consentement

Tenemos el mismo problema aquí que en el sitio. lefigaro.fr, se llama a muchos anunciantes externos, incluso antes de que el usuario haya dado su consentimiento. Si miramos en detalle, son dos iframes lanzados por las soluciones publicitarias de Google los responsables de la filtración de datos a varios terceros publicitarios: tpc.googlesyndication.com y pagead2.googlesyndication.com. Se trata de iframes activados por el servidor de anuncios del editor y el SSP de Google del que France Inter es cliente: Google Ad Manager (antiguamente parte de DoubleClick).

Ahora, si decidimos desactivarlo todo (rechazar el seguimiento), podemos ver gracias a extensión Chrome Cookie Glasses del equipo de investigación que el consentimiento se sigue otorgando a todos los terceros, incluso si no se otorga específicamente para ninguna categoría de cookies.

France Inter Consentement negatif

Y si luego navegamos por diferentes páginas del sitio franceinter.fr, parece que la negativa no ha cambiado nada: seguimos siendo rastreados por numerosos terceros (durante mi prueba: DoubleClick, Quantcast, BidSwitch, OpenX, MediaMath).

France Inter Consentement negatif

El ecosistema publicitario tiene varios problemas con el consentimiento:

Los agentes publicitarios no deberían poder colocar cookies con un identificador publicitario si no han recibido el consentimiento del usuario de Internet. Sin embargo, estos siguen muy en línea con la estrategia de Google, que no es ofrecer publicidad personalizada si no hay consentimiento, sino seguir rastreando al usuario de Internet en la web, publicar anuncios contextuales y medir el rendimiento de estos anuncios. Más precisamente: que yo sepa, ninguna herramienta publicitaria funciona "sin depositar cookies de identificación del usuario".
A diferencia de otras herramientas utilizadas por los editores (análisis, redes sociales, comercio electrónico, etc.), las herramientas publicitarias se llaman entre sí. Así, el editor (France Inter) que utiliza el servidor de anuncios Google Ad Manager y el SSP (relación directa) se verá mostrando en su sitio anuncios distribuidos por múltiples terceros con los que no tiene ninguna relación directa (ya sea en RTB o en ventas directas en otros lugares). Para distribuir su publicidad, estos terceros actores utilizarán una DSP (plataforma de compras), un servidor de anuncios (herramienta de distribución y medición), una herramienta para medir la visibilidad (¿el anuncio se muestra en pantalla o está oculto?), una herramienta para medir el fraude (¿quién está detrás de la pantalla, un usuario real o un bot?), etc. Esto explica las crecientes listas de actores que solicitan consentimiento y la falta de control de los editores que distribuyen publicidad.
Además, France Inter utiliza el servidor de anuncios y el SSP de Google, herramientas que todavía no comunican la cadena de consentimiento a terceros agentes publicitarios, porque Google aún no forma parte de “Transparency and Consent Framework del IAB”. Este protocolo fue desarrollado por IAB TechLab, una asociación de actores publicitarios responsables de establecer estándares técnicos, para cumplir con el RGPD (después de múltiples aplazamientos, Google planea adoptar la v2 del Framework a finales del primer trimestre).

¿Pueden los editores cumplir con el RGPD?

Sí, pero si dependen de la publicidad para vivir, el cumplimiento de la ley es vinculante:

Poner la aceptación y el rechazo de cookies al mismo nivel dará como resultado una tasa de rechazo alta.
Además, la "solución" implementada por la IAB para cumplir con el RGPD, la Transparency and Consent Framework (TCF), por su arquitectura, no bloquea cookies ni llamadas a etiquetas de terceros, no permite a los editores controlar lo que sucede en sus sitios. leer sobre esto “Mecanismos y (r)trampas del consentimiento” por Benjamin Poilvé, ingeniero al servicio de la experiencia tecnológica en la CNIL.
Si el internauta rechaza las cookies, ya que el ecosistema publicitario no está del todo preparado para un mundo sin cookies, la solución adecuada sería no difundir publicidad (el "tag manager" del cliente, la herramienta que decide la activación de las etiquetas, debería entonces desactivar las etiquetas publicitarias).

Sin embargo, el ecosistema publicitario corre el riesgo de tener que adaptarse enérgicamente porque, después de Safari, Firefox y Brave, Chrome pronto ya no permitirá la instalación de cookies de terceros (dentro de 2 años según su anuncio).